تم ترك قاعدة بيانات تابعة لخدمة البحث المحلية الهندية JustDial على الإنترنت دون حماية تعرض البيانات الشخصية لأكثر من 100 مليون مستخدم.
لا يزال الأرشيف يتسرب من معلومات التعريف الشخصية لأكثر من عملاء JustDial الذين يصلون إلى الخدمة عبر موقع الويب أو تطبيق الهاتف المحمول أو حتى من خلال الاتصال برقم خدمة العملاء ("88888 88888").
تم نشر الخبر لأول مرة من قبل The Hacker News التي تتحقق بشكل مستقل من صحة القصة.
JustDial هو أكبر وأقدم محرك بحث في الهند يسمح لمستخدميه بالعثور على بائعي منتجات وخدمات مختلفة.
اكتشف الباحث المستقل Rajshekhar Rajaharia كيف يمكن لأي شخص الوصول إلى نقطة نهاية API غير محمية وقابلة للوصول للجمهور.
تتضمن البيانات المسربة اسم المستخدم والبريد الإلكتروني ورقم الجوال والعنوان والجنس وتاريخ الميلاد والصورة والوظيفة واسم الشركة وغيرها.
وفقًا لما ذكره الخبير ، ظلت البيانات مكشوفة منذ منتصف عام 2015 على الأقل من خلال واجهة برمجة التطبيقات غير المحمية ، في الوقت الذي لم يكن واضحًا ما إذا كان أي شخص قد وصل إلى مجموعة البيانات الضخمة.
justdial اختراق البيانات القرصنة
قدم خبراء THN إلى Rajshekhar رقم هاتف جديد لم يتم تسجيله من قبل مع خادم Justdial ، ثم استخدموه للاتصال بخدمة JustDial وطلب معلومات عن المطاعم ، وأنشأت الخدمة ملفًا شخصيًا وارتبطت به بالرقم المقدم من THN. كان Rajshekhar قادرًا على الوصول إلى الملف الشخصي وهو ظرف أكد أن تعريض DB هو الذي يرتبط بأنظمة الإنتاج.
"على الرغم من أن واجهة برمجة التطبيقات غير المحمية مرتبطة بقاعدة بيانات JD الأساسية ، إلا أن Rajshekhar كشف أنها نقطة نهاية API قديمة لا تستخدمها الشركة حاليًا ولكنها تُنسى على الخادم".
اكتشف Rajshekhar نقطة النهاية غير المحمية أثناء إجراء اختبار الاختراق على أحدث واجهات برمجة التطبيقات ، والتي يبدو أنها محمية.
وجد Rajshekhar أيضًا إصدارًا آخر مرتبطًا بواجهات برمجة التطبيقات القديمة غير المحمية ، يمكن استغلال أحدها من قبل أي شخص لتشغيل طلب الأراضي الفلسطينية المحتلة لأي رقم هاتف مسجل يتيح للمستخدمين البريد العشوائي.
حاول Rajshekhar للإبلاغ عن القضايا للشركة ولكن دون نجاح.
ليست هناك تعليقات:
إرسال تعليق